Zákaz portu 80 a povolení pouze 443

Host

Zákaz portu 80 a povolení pouze 443
« kdy: 01. 12. 2015, 13:28:36 »
Dobry den

Mam na serveru zakazany port 80 a web na serveru je dostupny pouze pres 443. Problem je ale v tom, kdyz uzivatel zadava adresu napr xx.cz tak se na web nedostane protoze dotaz jde na port 80. Uzivatel musi tedy zadat https://xx.cz a pak je vse OK.

Jde to nastavit tak aby uzivateli stacilo zadat standardne jen xx.cz a port 80 zustal zablokovany?

Dekuji
« Poslední změna: 01. 12. 2015, 14:36:16 od Petr Krčmář »


Kolemjdoucí

Re:Zakani portu 80 a povoleni pouze 443
« Odpověď #1 kdy: 01. 12. 2015, 13:42:39 »
Jde to nastavit tak aby uzivateli stacilo zadat standardne jen xx.cz a port 80 zustal zablokovany?

Ne. Aby uživateli stačilo zadat jen xx.cz tak by bylo potřeba port 80 odblokovat a na http požadavky odpovídat redirectem na https.

j

Re:Zakani portu 80 a povoleni pouze 443
« Odpověď #2 kdy: 01. 12. 2015, 14:33:19 »
Viz predchozi, oni totiz tupci delajici prohlizece sice zcela s klidem vyzkousi 10 tld, nebo 20 nahodnych domen +- obsahujicich zadane, ale ze by vyzkouseli https, to je ani nenapadne.

A stejne tak neumi to, co existuje uz par desetileti - srv, coz treba v pripade ff je bug aktivni teprve smesnych 16 let.
https://bugzilla.mozilla.org/show_bug.cgi?id=14328

BTW: Redirect muzes samo udelat na jinym serveru, kam namiris ty lidi pomoci dns, takze to "jde" udelat tak, ze na tom konkretnim stroji bude port 80 nedostupny. Ale je to samo drbani se nohou za krkem a potrebujes ten dalsi stroj, at uz svuj nebo cizi.

podhy

Re:Zákaz portu 80 a povolení pouze 443
« Odpověď #3 kdy: 01. 12. 2015, 14:52:13 »
Jde to vyřešit. Dejte si stránky do HSTS preload listu. Pokud tam stránky budete mít tak se v prohlížeči provede interní redirect bez zkoušení portu 80 na serveru. Bohužel s podporou to už tak slavné není.

PCnity

  • *****
  • 685
    • Zobrazit profil
    • E-mail
Re:Zákaz portu 80 a povolení pouze 443
« Odpověď #4 kdy: 02. 12. 2015, 16:42:41 »
V com je problem prevadzkovat na TCP/80 redirect na HTTPS? U mna je to jeden riadok v nginx konfiguracii.

server {
       listen   80;
       return   301 https://$server_name$request_uri;
}

Apache a osotane budu mat urcite velmi podobne moznosti.


podhy

Re:Zákaz portu 80 a povolení pouze 443
« Odpověď #5 kdy: 02. 12. 2015, 16:53:29 »
V com je problem prevadzkovat na TCP/80 redirect na HTTPS? U mna je to jeden riadok v nginx konfiguracii.

server {
       listen   80;
       return   301 https://$server_name$request_uri;
}

Apache a osotane budu mat urcite velmi podobne moznosti.

protože vás to např. neochrání proti SSL strippingu

PCnity

  • *****
  • 685
    • Zobrazit profil
    • E-mail
Re:Zákaz portu 80 a povolení pouze 443
« Odpověď #6 kdy: 02. 12. 2015, 17:03:54 »
Logicky ze to neochrani proti SSL Stripu, ale to neochrani ani blokovanie TCP/80. MITM so zmenou vsetkych odkazov na HTTP si urobim uplne nezavisle na tom ci ma dany web aj oficialne HTTP.

Re:Zákaz portu 80 a povolení pouze 443
« Odpověď #7 kdy: 02. 12. 2015, 20:42:33 »
Předřečníci mají pravdu. Blokovat port 80 nemá praktický smysl. Správný postup je nechat povolený 80 i 443, na serveru nastavit redirect na HTTPS a zároveň publikovat HSTS s dlouhou dobou trvání. A vše validovat na https://www.ssllabs.com/ssltest/ Pokud tam dosáhneš A nebo A+, je to to nejlepší, co můžeš pro zabezpečení komunikace s webem udělat.

Je zbytečný znovu vymýšlet kolo.

Re:Zákaz portu 80 a povolení pouze 443
« Odpověď #8 kdy: 02. 12. 2015, 20:47:19 »
A samozřejmě ideálně i zmíněný HSTS preload.